Anhang D – PowerXL empfohlene Sicherheitsrichtlinien
Tabelle 55. PowerXL – Richtlinien sichere Konfiguration (Forts.).
Kategorie
Beschreibung
Einschränkung des
Es ist äußerst wichtig, die in den Frequenzumrichtern der PowerXL Baureihe enthaltenen logischen Zugangsmechanismen so zu
logischen Zugangs zum
konfigurieren, dass das Gerät vor unerlaubtem Zugriff geschützt ist. Frequenzumrichter der PowerXL Baureihe bieten verschiedene
Frequenzumrichter der
Zugriffsebenen für Verwaltung, Betrieb und Konfiguration. Eaton empfiehlt, die verfügbaren Zugangskontrollmechanismen voll
Baureihe PowerXL
auszunutzen um sicherzustellen, dass der Zugang zur Anlage nur berechtigten Anwendern möglich ist. Und diese Anwender werden
nur für die Zugriffsebene freigeschaltet, die für die Erfüllung ihrer Aufgaben im Betrieb erforderlich ist.
Eaton empfiehlt die Anwendung der im Folgenden genannten bewährten Verfahren, um eine ausreichende Cybersicherheit für die
Konfiguration/Anlage sicherzustellen.
• Beim ersten Login werden die Standard-Zugangsdaten geändert. Die Frequenzumrichter der PowerXL Baureihe sollten nicht mit
• Pflegen Sie das Zugangskonto regelmäßig, um sicherzustellen, dass das Passwort bei jedem Personalwechsel geändert wird.
• Ändern Sie Passwörter und andere Anlagenzugangsdaten, wenn dies sinnvoll ist.
• Frequenzumrichter der Baureihe PowerXL sind mit Daten-/Zugriffsschutzmechanismen auf dem Bedienfeld ausgestattet. Folgen Sie
Frequenzumrichter der PowerXL Serie bieten zur Sicherstellung der Sicherheit vier Datenschutzebenen für Anwender:
1. Sperren Sie Parameter auf dem Bedienfeld. Der Anwender kann Parameter über DI sperren oder die Änderung ausschalten, so dass
2. Sperren Sie Parameter, wenn der Motor läuft. Motorsteuerungsparameter können nur geändert werden, wenn der Motor sich im
3. Mit dem Tool Power Xpert inControl können Parameter auf dem Bedienfeld ausgeblendet werden. Der Anwender kann die
4. Access Key auf dem Bedienfeld:
Einschränkung des
Frequenzumrichter der PowerXL Baureihe bieten einen Netzwerkzugang, um die Datenkommunikation mit anderen Geräten in der
Netzwerkzugangs
Anlage sowie die Konfiguration zu vereinfachen. Diese Möglichkeit kann aber eine große Sicherheitslücke darstellen, wenn sie nicht
sicher konfiguriert wird.
Eaton empfiehlt die Segmentierung von Netzwerken in logische Einheiten und die Beschränkung der Host-to-Host-Datenübertragung.
Hierdurch können sensible Daten und kritische Anwendungen geschützt und der Schaden durch die Verletzung von Netzwerkgrenzen
begrenzt werden. Ein Netzwerk von industriellen Steuerungssystemen für Versorgungsunternehmen sollte mindestens in eine
dreistufige Architektur (wie von NIST SP800-82[R3] empfohlen) unterteilt werden, um die Sicherheitskontrolle zu verbessern.
Arbeiten Sie mit adäquaten Netzwerkschutzeinrichtungen wie Firewalls und Eindringungserkennungs-/
Eindringungsschutzeinrichtungen.
Im Folgenden finden Sie die auf Frequenzumrichtern der PowerXL Serie verfügbaren Protokolle und ihre Anschlussdaten. Konfigurieren
Sie die Firewalls mit folgenden Daten:
Frequenzumrichter der PowerXL Baureihe arbeiten mit den folgenden Kommunikationsprotokollen:
• EtherNet IP-Protokolle am RJ45-Anschluss – standardmäßig aktiviert an Port 44818 und 2222;
• Modbus TCP-Protokoll am RJ45-Anschluss – standardmäßig aktiviert an Port 502;
• Modbus RTU an physikalischer RS485-Schicht – standardmäßig aktiviert;
• BACnet MS/TP an physikalischer RS485-Schicht – Standardmäßig deaktiviert, bei Aktivierung wird Modbus RTU deaktiviert.
All diese Protokolle haben eine feste Menüstruktur und Sie finden die Einzelheiten zu Aktivierung und Konfiguration im
Anwenderhandbuch.
• Eaton hat detaillierte Informationen zu verschiedenen mehrstufigen Schutzstrategien von Netzwerken in seinen
Sollwerte
[R1] Cyber-Sicherheitsbetrachtungen für die Informations- und Kommunikationstechnik (WP152002EN):
http://www.eaton.com/ecm/groups/public/@pub/@eaton/@corp/documents/content/pct_1603172.pdf
[R2] Erinnerungshilfe für die Cybersicherheit Best Practices Prüfliste (WP910003EN):
http://www.cooperindustries.com/content/dam/public/powersystems/resources/library/1100_EAS/WP910003EN.pdf
164
POWERXL FREQUENZUMRICHTER MN040051DE – März 2023 www.eaton.com
den Standard-Zugangsdaten für die Produktion in Betrieb genommen werden. Dies wäre ein schwerer Cybersicherheitsfehler,
da die Standard-Zugangsdaten in den Handbüchern zugänglich sind. Schränken Sie die Zugriffsebenen für Verwaltungsaufgaben
ein - Personen, die eine Bedrohung darstellen, versuchen immer häufiger, an „echte" Zugangsdaten zu gelangen, besonders an die
für hohe Zugriffsebenen. Beschränken Sie die Zugriffsebene auf den Bereich, den ein Anwender für die Erfüllung seiner Aufgaben
benötigt. Stellen Sie sicher, dass das Passwort für das Gerät nur berechtigten Personen, z. B. den Technikern für die Konfiguration,
und nicht allen Anwendern im Einsatzbereich bekannt ist.
zur Anwendung den nachfolgenden Schritten.
sämtliche Parameter nicht mehr bearbeitet werden können.
Stopp-Modus befindet. Dies führt zu einer erhöhten Motorsicherheit. Die Parameter sind im Applikationshandbuch aufgelistet.
Parameter ausblenden, die nur für sie/ihn wichtig sind. Z. B. die IP-Adresse usw.
•
0000 bedeutet, dass kein Access Key eingerichtet ist. Dies ist die Standardeinstellung;
•
Der Access Key-Bereich liegt im Bereich von 0001 bis 9999;
•
Mit dem Passwort kann der Anwender Parameterwerte überwachen, benötigt aber das Passwort, wenn sie/er Parameter
bearbeiten möchte.
•
Der Anwender muss das Passwort erneut eingeben, wenn nach der Passworteingabe eine Minute lang keine Taste betätigt.
•
Der Anwender muss den alten Access Key eingeben, wenn sie/er einen neuen möchte.
Cybersicherheitsbetrachtungen für die Informations- und Kommunikationstechnik [R1] veröffentlicht.